Jeu d'outils de configuration de sécurité Windows

  • Article
Sur cette page

Jeu d'outils de configuration de sécurité Jeu d'outils de configuration de sécurité
Résumé Résumé
Introduction Introduction
Exhaustivité Exhaustivité
Souplesse Souplesse
Évolutivité Évolutivité
Simplicité Simplicité
Présentation générale du Jeu d'outils de configuration de sécurité Présentation générale du Jeu d'outils de configuration de sécurité
Interfaces graphiques Interfaces graphiques
Commande Secedit Commande Secedit

Jeu d'outils de configuration de sécurité

Livre blanc

Résumé

Ce document décrit le Jeu d'outils de configuration de sécurité de Microsoft , un jeu de composants logiciels enfichables intégrés de Microsoft Management Console (MMC) conçus pour réduire les coûts associés à la configuration et à l'analyse de la sécurité des réseaux fonctionnant sous les systèmes d'exploitation Windows NT et Windows 2000. Le Jeu d'outils de configuration de sécurité permet de configurer la sécurité d'un système sous Windows NT ou Windows 2000 et d'exécuter ensuite une analyse périodique du système pour s'assurer que la configuration reste intacte ou pour apporter les modifications nécessaires au cours du temps. Il est également intégré dans le gestionnaire de configuration et des changements administratifs de Windows pour configurer automatiquement les stratégies sur un grand nombre de systèmes au sein de l'entreprise.

Introduction

Ce document décrit le Jeu d'outils de configuration de sécurité de Microsoft , un jeu d'outils intégrés de Microsoft Management Console (MMC) conçus pour simplifier, intégrer et centraliser les tâches de configuration et d'analyse de la sécurité des systèmes Windows NT et Windows 2000. Microsoft Management Console est une application de type MDI (Multiple-Document Interface) du système d'exploitation Windows qui utilise de façon intensive les technologies Internet. Élément essentiel de la stratégie de gestion de Microsoft, MMC est conçu pour fournir à un hôte tous les outils de gestion, simplifier la délégation de tâches et réduire le coût total de possession pour les utilisateurs en entreprise de Windows et Windows NT. MMC n'assure pas de réelles fonctions de gestion, mais crée plutôt un environnement commun pour les composants logiciels enfichables qui assurent cette gestion. Les composants logiciels enfichables sont des composants administratifs intégrés dans un hôte commun, l'interface MMC.

Le Jeu d'outils de configuration de sécurité est un jeu de composants logiciels enfichables pour MMC conçu en vue de constituer un référentiel central pour les tâches administratives associées à la sécurité. Le Jeu d'outils de configuration de sécurité vous permet d'utiliser un jeu d'outils intégrés pour configurer et analyser la sécurité sur un ou plusieurs postes Windows 2000 ou Windows NT de votre réseau.

La version actuelle de Microsoft Windows NT offre d'excellentes caractéristiques de sécurité intégrées. Une simple connexion au domaine Windows NT permet aux utilisateurs d'accéder à des ressources n'importe où sur le réseau de l'entreprise. Le système propose des outils pour la gestion des comptes et des stratégies de sécurité, et la souplesse du modèle de domaine Windows NT autorise la prise en charge d'une large variété de configurations réseau. Windows 2000 étend ces caractéristiques pour supporter pleinement les réseaux d'entreprise de type Internet et les nouveaux services distribués inclus dans le système d'exploitation.

Du point de vue de l'administrateur, Windows NT offre de nombreux outils graphiques pouvant être utilisés individuellement pour configurer divers aspects de la sécurité du système. Cependant, ces outils ne sont pas centralisés, obligeant éventuellement l'administrateur à ouvrir trois ou quatre applications pour configurer la sécurité d'un ordinateur. L'utilisation de ces applications peut donc s'avérer coûteuse et mal adaptée pour de nombreux clients qui attachent une importance toute particulière à la sécurité. La configuration de la sécurité risque en outre de se montrer complexe, d'autant plus que Windows 2000 propose des fonctionnalités supplémentaires de sécurité distribuée.

Les outils de configuration fournis par Windows NT 4.0, appropriés à défaut d'être pratiques, sont insuffisants en termes d'analyse de la sécurité. Le seul outil dans cette catégorie est l'Observateur d'événements, qui n'a jamais été conçu pour effectuer une analyse d'audit au niveau de l'entreprise. Il existe quelques outils proposés par des fournisseurs tiers et destinés à une telle analyse, mais la plupart ne comportent pas de fonctionnalités adaptées aux entreprises ou s'avèrent incomplets.

Le Jeu d'outils de configuration de sécurité a pour but de répondre à un besoin d'outils centralisés de configuration de la sécurité et offrira dans ses futures versions l'environnement nécessaire pour les fonctionnalités d'analyse au niveau de l'entreprise. Plus important encore, il réduira les coûts d'administration liés à la sécurité en définissant un point unique où la sécurité du système complet peut être observée, analysée et ajustée si nécessaire. L'objectif est de fournir un ensemble d'outils complet, souple, extensible et simple permettant de configurer et d'analyser la sécurité du système.

L'objectif premier du Jeu d'outils de configuration de sécurité est de fournir un point d'administration unique de la sécurité d'un système Windows NT ou Windows 2000. Pour atteindre cet objectif, l'outil doit permettre à l'administrateur de :

  • configurer la sécurité sur un ou plusieurs ordinateurs fonctionnant sous Windows NT ou Windows 2000 ;

  • réaliser une analyse de sécurité sur un ou plusieurs ordinateurs fonctionnant sous Windows NT ou Windows 2000 ;

  • mener ces tâches à bien à partir d'un environnement intégré et homogène.

Le processus de configuration de la sécurité d'un réseau Windows NT ou Windows 2000 peut s'avérer complexe et détaillé du fait des composants système impliqués et du niveau de modification requis. Par conséquent, le Jeu d'outils de configuration de sécurité est conçu pour vous permettre d'exécuter une configuration à un niveau global. En d'autres termes, cet utilitaire vous permet de définir un certain nombre de paramètres de configuration et de les appliquer en arrière-plan. Vous pouvez ainsi regrouper et automatiser des tâches de configuration, ce qui vous évite des procédures longues et répétitives ainsi que le recours à plusieurs applications pour configurer un groupe d'ordinateurs.

Le Jeu d'outils de configuration de sécurité n'est pas conçu pour remplacer les outils système qui traitent différents aspects de la sécurité du système tels que le Gestionnaire des utilisateurs, le Gestionnaire de serveurs, l'Éditeur de liste de contrôle d'accès, etc. Il vise plutôt à compléter ces outils en définissant un moteur capable d'interpréter un fichier de configuration standard et effectuer automatiquement en arrière-plan les opérations requises. Les administrateurs peuvent continuer à utiliser les outils existants (ou leurs versions plus récentes) pour modifier le cas échéant des paramètres de sécurité individuels.

Afin de combler le point faible en analyse de sécurité observé dans l'administration de la sécurité de Windows NT, le Jeu d'outils de configuration de sécurité permet une analyse à un niveau élémentaire. L'utilitaire est conçu pour fournir des informations sur tous les aspects du système qui se rapportent à la sécurité. Les administrateurs de la sécurité peuvent consulter ces informations et gérer les risques en matière de sécurité pour l'ensemble de leur infrastructure informatique. Dans les versions futures, ils auront la possibilité de créer des états et d'effectuer des requêtes spécialisées.

Les caractéristiques inhérentes au Jeu d'outils de configuration de sécurité sont l'exhaustivité, la souplesse, l'évolutivité et la simplicité.

Exhaustivité

Contrairement à d'autres fonctionnalités du système d'exploitation, la sécurité concerne le système dans son ensemble. Presque tous les composants du système jouent un rôle dans sa sécurité. Il devient donc extrêmement difficile de répondre à des questions du type "Mon ordinateur est-il sécurisé ?" ou "Mon réseau est-il sécurisé ?". Généralement, un administrateur système doit examiner de nombreux composants système et utiliser de nombreux outils pour tenter de répondre à ces questions. L'objectif du Jeu d'outils de configuration de sécurité est de constituer une ressource permettant de répondre à des questions de sécurité, qu'elles soient d'ordre général (comme celles indiquées ci-dessus) ou au contraire très spécifiques. Afin d'assurer une administration exhaustive de la sécurité basée sur des informations pertinentes, le Jeu d'outils de configuration de sécurité vous permet de configurer et d'analyser tous les aspects suivants :

  • Stratégies de compte – Vous pouvez utiliser cet outil pour définir les stratégies d'accès, notamment les stratégies de mot de passe de domaine ou local, les stratégies de verrouillage de compte de domaine ou local et les stratégies Kerberos de domaine.

  • Stratégies locales – Vous pouvez configurer une stratégie d'audit local, des affectations de droit d'accès d'utilisateur et différentes options de sécurité telles que la commande d'un lecteur de disquette ou de CD-Rom, etc.

  • Groupes restreints – Vous pouvez définir l'appartenance aux groupes intégrés, tels que Administrateurs, Opérateurs de serveur, Opérateurs de sauvegarde, Utilisateurs avec pouvoir, etc., ainsi que n'importe quel autre groupe spécifique à configurer. Cette possibilité ne doit pas être utilisée comme un outil général de gestion d'appartenance (Membership), mais uniquement pour contrôler l'appartenance à des groupes spécifiques auxquels sont affectées des possibilités sensibles.

  • Services système - Vous pouvez configurer la sécurité pour les différents services installés sur un système, y compris les services de transport du réseau tels que TCP/IP, NetBIOS, partage de fichiers CIFS, impression, etc. Ceux-ci peuvent être configurés sous la forme d'options de démarrage (automatique, manuel ou désactivé) ou faire l'objet d'un contrôle d'accès : autorisation ou interdiction d'exécuter, d'arrêter, d'interrompre et d'émettre des commandes de contrôle.

  • Partage de fichiers ou de dossiers - Vous pouvez configurer les paramètres du système de fichiers Windows NT (NTFS) et du service Redirecteur. Vous disposez notamment d'options permettant d'interdire l'accès anonyme et d'activer les signatures de paquet et la sécurité lors de l'accès aux différents fichiers partagés du réseau. Les futures versions comprendront d'autres sous-domaines spécifiques au service, notamment des services tels que Internet Information Server.

  • Registre système – Vous pouvez utiliser le jeu d'outils pour définir la sécurité des clés du registre système.

  • Magasin du système – Vous pouvez utiliser le jeu d'outils pour définir la sécurité des volumes de fichiers et des arborescences de répertoires du système local.

  • Sécurité des répertoires – Vous pouvez utiliser le jeu d'outils pour gérer la sécurité des objets qui se trouvent dans Windows 2000 Active Directory™.

Souplesse

Le Jeu d'outils de configuration de sécurité vous permet de définir des fichiers de configuration de sécurité contenant les paramètres des attributs de sécurité de chacun des domaines mentionnés ci-dessus. Vous pouvez configurer le système à l'aide de ces fichiers. Vous pouvez également les utiliser comme recommandations pour effectuer une analyse de la sécurité du système.

Les configurations sont enregistrées sous forme de fichiers texte .inf. Les informations de configuration sont spécifiées dans différentes sections pour être ensuite analysées par le moteur de configuration du jeu d'outils. L'architecture est suffisamment souple pour prendre en charge de nouvelles sections si vous avez besoin de préciser de nouveaux aspects de la configuration et de l'analyse de la sécurité en fonction de l'évolution du système.

La première édition du Jeu d'outils de configuration de sécurité comprend un ensemble de configurations prédéfinies. Vous pouvez choisir d'utiliser ces configurations telles que vous les avez reçues ou les utiliser comme point de départ pour construire vos propres configurations personnalisées. L'éditeur de configuration fourni avec le jeu d'outils, appelé Éditeur de Configuration de Sécurité, offre en effet cette possibilité.

Évolutivité

Le Jeu d'outils de configuration de sécurité est conçu de façon à être évolutif. Vous pouvez ajouter des extensions en tant que nouvelles zones de configuration et d'analyse de la sécurité ou en tant que nouveaux attributs à l'intérieur d'une zone existante. Les informations de configuration étant stockées dans un fichier .inf standard, elles peuvent être facilement développées sans affecter la compatibilité en amont.

Les services système représentent en outre une zone actuellement définie qui a été conçue pour être évolutive. Elle permet à n'importe quel créateur de services de mettre en œuvre un attachement de configuration de sécurité permettant de configurer les paramètres de sécurité de leur service particulier et d'exécuter une analyse le cas échéant. Différents systèmes Windows NT peuvent être configurés pour exécuter différents jeux de services. En outre, Microsoft prévoit que des éditeurs indépendants de logiciel (ISV, Independant Software Vendor) qui développent des services souhaiteront ajouter leur configuration et leur analyse de sécurité de services à cette structure de sécurité globale. Le jeu d'outils reconnaît initialement l'attachement de configuration de sécurité pour le service Windows NT générique qui concerne le partage des fichiers en réseau (CIFS). Les futures versions comprendront des attachements pour IIS, etc.

Simplicité

Le Jeu d'outils de configuration de sécurité étant conçu pour réduire les coûts associés à l'administration de la sécurité d'un réseau, il est essentiel qu'il soit facile à apprendre et à utiliser. Le jeu d'outils ne contient aucune option complexe et repose sur une interface utilisateur graphique simple et uniforme permettant de définir des configurations, de les enregistrer dans des fichiers et d'afficher les données d'analyse de sécurité stockées dans la base de données. Cette interface utilise les menus contextuels et affichages normalisés pris en charge par Microsoft Management Console. Elle ne propose pas de graphiques ni de statistiques superflus, mais une simple vue tabulaire des informations associée à des indicatifs visuels permettant de signaler les problèmes de sécurité. Le jeu d'outils contient en outre un éditeur de ligne de commande, Secedit.exe, permettant aux administrateurs d'exécuter une configuration et une analyse dans le cadre d'un script. Les administrateurs peuvent utiliser l'interface graphique ou la ligne de commande pour appliquer une configuration enregistrée et pour effectuer l'analyse, ce qui leur permet d'adapter aisément l'outil dans un modèle d'administration existant. Ils peuvent également utiliser l'interface graphique pour définir des configuration et parcourir les données d'analyse.

La section suivante de ce document présente une description approfondie du Jeu d'outils de configuration de sécurité, de son architecture et de la manière dont il s'intègre dans Windows NT et Windows 2000.

Présentation générale du Jeu d'outils de configuration de sécurité

Les services de sécurité distribués de Windows NT et de Windows 2000 comprennent de nombreuses fonctionnalités nouvelles permettant de simplifier l'administration du domaine, d'améliorer les performances et d'intégrer une technologie de sécurité Internet basée sur la cryptographie par clé publique. Les services de sécurité distribués recouvrent en particulier les aspects suivants :

  • Intégration avec le service Annuaire de Windows 2000 Server (Active Directory) afin de permettre une gestion évolutive et souple des comptes pour les grands domaines, avec contrôle d'accès élémentaire et délégation de l'administration.

  • Le protocole par défaut mis en œuvre pour l'authentification sur le réseau est Kerberos version 5, une norme de sécurité Internet éprouvée qui forme la base de l'interopérabilité de l'authentification.

  • Une authentification forte à l'aide de certificats de clé publique, des canaux sécurisés basés sur Secure Sockets Layer version 3.0 et CryptoAPI version 2.0 constituent des protocoles standard pour l'intégrité et la confidentialité des données sur les réseaux publics.

Les améliorations de la sécurité ont été spécialement conçues pour répondre aux besoins des réseaux d'entreprise distribués. Bien que les services de sécurité de Windows 2000 soient impressionnants, le besoin d'un outil pour configurer et administrer de telles possibilités est évident. Le Jeu d'outils de configuration de sécurité, un composant logiciel enfichable de Microsoft Management Console, répond à ce besoin (pour une description détaillée de Microsoft Management Console, reportez-vous au livre blanc intitulé "Console de Gestion Microsoft : Présentation générale" sur le site microsoft.com).

Le jeu d'outils se compose des éléments suivants :

  • Service de configuration de la sécurité - Ce service est le moteur essentiel du Jeu d'outils de configuration de sécurité. Il s'exécute sur toute plate-forme Windows 2000 et assure toutes les fonctions de configuration et d'analyse de sécurité offertes par le jeu d'outils. Ce service est au centre de toute l'infrastructure.

  • Sécurité de l'installation - La configuration de sécurité initiale à l'installation est assurée par cet outil qui utilise les configurations par défaut de votre système. Il crée une base de données de sécurité initiale appelée base de données Stratégie de l'ordinateur local sur chaque ordinateur où l'installation de Windows 2000 s'est bien déroulée.

    Remarque : Ce n'est pas le cas lorsqu'une machine Windows NT 4.0 ou version antérieure est mise à niveau, car un client peut avoir personnalisé la configuration de sécurité et celle-ci ne doit pas être remplacée. Le client peut alors utiliser l'option Configurer du jeu d'outils pour appliquer une configuration.

  • Éditeur de configuration de sécurité - Ce composant logiciel enfichable autonome vous permet de définir des configurations de sécurité indépendantes du poste de travail, qui sont ensuite enregistrées dans des fichiers texte .inf.

  • Gestionnaire de configuration de sécurité - Ce composant logiciel enfichable autonome vous permet d'importer une ou plusieurs configurations enregistrées dans une base de données de sécurité (laquelle peut être la base de données de la stratégie de l'ordinateur local ou toute autre base de données privée). L'importation des configurations crée une base de données de sécurité spécifique à la machine qui contient alors une configuration composite. Vous pouvez appliquer la configuration composite à l'ordinateur et analyser la configuration actuelle du système par rapport à la configuration composite enregistrée dans la base de données.

  • Extension Paramètres de sécurité de l'Éditeur de stratégie de groupe - Ce composant logiciel enfichable étend l'Éditeur de stratégie de groupe. Il vous permet de définir la configuration de sécurité comme partie intégrante d'un objet de stratégie de groupe. Les stratégies de groupe font partie de l'initiative d'administration de Microsoft Windows. Pour plus d'informations sur les stratégies de groupe et sur l'administration de Windows.

  • Les objets de stratégie de groupe peuvent ensuite être affectés à un poste de travail spécifique ou au domaine d'application du domaine ou de l'unité d'organisation Active Directory de manière à ce qu'ils soient appliqués à tous les postes de travail de ce domaine d'application. Les configurations de sécurité des différents objets de stratégie de groupe (local, domaine et unités d'organisation) sont diffusées sur poste de travail et importées dans la base de données Stratégie de l'ordinateur local. La configuration composite de cette base de données est appliquée périodiquement au poste de travail pour s'assurer que le système adhère à la stratégie de l'entreprise. C'est ce qu'on appelle la stratégie de sécurité du poste de travail.

  • Éditeur de ligne de commande : Secedit.exe - Il s'agit de l'interface de ligne de commande de certaines fonctions du jeu d'outils.

L'Éditeur de configuration de sécurité vous permet de définir des fichiers de configuration de sécurité contenant les paramètres de sécurité préconisés pour les attributs de chacune des zones de sécurité (stratégies du compte, stratégies locales, groupes restreints, registre, etc.). Les fichiers de configuration de sécurité sont des fichiers texte .inf standard. Le Gestionnaire de configuration de sécurité vous permet d'importer ces configurations enregistrées dans la base de données de sécurité de différents postes de travail. Vous pouvez également importer ces configurations dans les objets de stratégie de groupe afin qu'ils soient diffusés automatiquement dans la base de données des stratégies de l'ordinateur local.

Le composant logiciel enfichable Éditeur de configuration de sécurité dispose d'une interface graphique qui vous permet d'éditer les fichiers de configuration de sécurité afin de créer des configurations personnalisées. Ses fonctions de copier/coller vous permettent de copier des parties de configurations de différents fichiers pour créer une nouvelle configuration personnalisée (voir Figure 1).

Éditeur de configuration de sécurité
Figure 1 L'Éditeur de configuration de sécurité

Le Jeu d'outils de configuration de sécurité est fourni avec des configurations standard et recommandées qui s'appliquent dans les environnements Windows NT et Windows 2000 typiques, y compris les installations qui comportent des composants Internet et intranet. Les configurations prédéfinies incluent les différentes recommandations émises dans le livre blanc "Securing Windows NT Installations", que vous trouverez sur le site microsoft.com. Les possibilités d'édition du composant logiciel enfichable vous permettent en outre d'utiliser les fichiers de configuration de sécurité prédéfinis ou d'en créer de nouveaux en les adaptant à votre propre environnement.

La base de données de configuration et d'analyse de la sécurité (base de données de la sécurité) est une base de données spécifique au poste de travail qui est générée lorsqu'une ou plusieurs configurations sont importées sur celui-ci. Il peut s'agir d'une base de données initiale créée lors de l'installation de Windows 2000, si celle-ci est correcte. Cette base de données est appelée base de données Stratégie de l'ordinateur local. Elle contient initialement la configuration d'origine par défaut de votre système. Vous pouvez exporter cette configuration vers un fichier de configuration de sécurité immédiatement après l'installation, puis l'enregistrer. Ce fichier pourra s'avérer utile si, pour une raison quelconque, vous souhaitez rétablir ultérieurement la configuration de sécurité initiale.

La base de données de configuration et d'analyse de la sécurité est le point de départ de toutes les configurations et analyses effectuées sur un système. La base de données est initialement créée à partir du fichier de configuration indépendant du poste de travail décrit ci-dessus. De nouvelles configurations peuvent être successivement ajoutées à la base de données sans qu'il soit nécessaire de remplacer la totalité de la configuration (voir Figure 2).

Menu du Gestionnaire de configuration de sécurité<br>montrant comment sélectionner et/ou créer des bases de données
Figure 2 Menu du Gestionnaire de configuration de sécurité
montrant comment sélectionner et/ou créer des bases de données

La base de données Stratégie de l'ordinateur local est une base de données de sécurité spéciale du système. Elle définit la stratégie de sécurité appliquée pour ce système. Le système fonctionne à tout moment avec la configuration définie dans la stratégie. La stratégie ne définit pas forcément la configuration complète, ce qui signifie que différents attributs de la configuration peuvent être ignorés. La sécurité de chaque fichier ou dossier, par exemple, n'est pas forcément définie. Cela implique que les attributs de configuration de la sécurité qui ne sont pas appliqués par la stratégie peuvent adopter n'importe quelle valeur, par défaut ou définie par tout autre mécanisme tel que l'éditeur d'ACL de l'Explorateur Windows, pour la sécurité des fichiers et des dossiers. Les objets auxquels la stratégie ne s'appliquent pas peuvent ainsi être configurés manuellement en utilisant des bases de données personnelles. Toute configuration personnalisée qui entre en conflit avec la stratégie est cependant remplacée par les définitions de la stratégie. Les configurations de la base de données personnelle sont utiles dans des domaines tels que le registre et le système de fichiers, où plusieurs utilisateurs peuvent sécuriser leur propre ruche du registre et leurs sous-arbres du répertoire de base.

Un autre aspect important de la base de données de sécurité est son utilisation pour les analyses. Vous pouvez utiliser le Gestionnaire de configuration de sécurité pour comparer la configuration actuelle du système à la configuration enregistrée dans la base de données. Les informations fournies par l'analyse vous indiquent si un système donné diverge d'une configuration donnée. Cela vous aide à résoudre les problèmes, à adapter la stratégie de sécurité et surtout à détecter toute lacune en matière de sécurité qui peut apparaître dans le système au cours du temps (voir Figure 3).

Gestionnaire de configuration de sécurité présentant une analyse
Figure 3 Le Gestionnaire de configuration de sécurité présentant une analyse

Comme indiqué précédemment, la configuration de sécurité d'un système est divisée en zones de sécurité. Microsoft a identifié plusieurs zones de sécurité ; cependant, de nouvelles zones pourront être ajoutées à l'avenir pour prendre en charge des fonctionnalités système améliorées sans compromettre la compatibilité en amont avec les fichiers et les bases de données de configuration existants. Les zones de sécurité actuellement prises en charge sont les suivantes :

  • Stratégies de compte - Cette zone vous permet de définir les mots de passe, le verrouillage des comptes et les stratégies Kerberos. Les stratégies Kerberos ne concernent que les contrôleurs de domaine Windows 2000.

  • Stratégies locales** Cette zone vous permet de configurer la stratégie d'audit, l'attribution des droits aux utilisateurs et les options de sécurité du poste de travail.

  • Groupes restreints - Ces paramètres gèrent les participations à certains groupes que vous considérez comme sensibles.

    Arborescence des objets - Il existe trois zones de sécurité dans cette catégorie :

    • Objets annuaire (seulement pour les contrôleurs de domaine Windows 2000).

    • Clés de registre.

    • Système de fichiers local.

      Pour chaque arborescence d'objet, les fichiers de configuration définis vous permettent de configurer (et d'analyser) les paramètres des descripteurs de la sécurité, tels que le propriétaire de l'objet, la liste de contrôle des accès (ACL) et les informations d'audit.

  • Services système - Cette zone comprend tous les services du système local ou du réseau. Cette zone de la sécurité est conçue de manière à permettre aux fournisseurs de logiciels indépendants de créer des attachements du Jeu d'outils de configuration de sécurité pour configurer et analyser des services système spécifiques. Microsoft créera en plus des attachements pour certains services fournis avec le système. La première version comprendra un attachement pour configurer et analyser la sécurité sur le service de partage des fichiers réseau. Pour les instructions de mise en œuvre et d'installation, reportez-vous à l'annexe A, Mise en œuvre d'attachements de sécurité de service.

L'interface graphique du Jeu d'outils de configuration de sécurité est un jeu de composants logiciels enfichables de Microsoft Management Console (MMC). L'interface graphique reconnaît les fonctions administratives suivantes :

  • Définition des configurations de sécurité - Le jeu d'outils contient l'Éditeur de configuration de sécurité qui vous permet de définir et d'enregistrer une configuration. Les configurations étant enregistrées dans des fichiers texte .inf, vous pouvez utiliser n'importe quel éditeur de texte pour visualiser les exemples de configuration fournis avec l'utilitaire et vous familiariser avec leur format ; Microsoft déconseille toutefois d'utiliser votre éditeur de texte pour modifier un fichier de configuration, car vous risqueriez de modifier involontairement le format du fichier, lequel ne pourrait plus être analysé par le moteur du service de configuration de la sécurité. Utilisez toujours le composant logiciel Éditeur de configuration de sécurité pour créer ou modifier un fichier de configuration.

    Pour utiliser l'Éditeur de configuration de sécurité, démarrez Microsoft Management Console et ajoutez le composant logiciel autonome Éditeur de configuration de sécurité et toutes ses extensions dans une nouvelle console MMC que vous pouvez ensuite enregistrer pour l'utiliser ultérieurement. Pour plus d'informations, reportez-vous à la documentation de Microsoft management Console.

    Configuration de la sécurité du système -Vous pouvez utiliser l'une des options suivantes du jeu d'outils pour configurer la sécurité d'un système Windows NT ou Windows 2000 :

    • Extension des paramètres de sécurité à l'éditeur de stratégie de groupe - Cette option est recommandée pour la configuration si vous avez une infrastructure Windows Active Directory. Elle peut également être utilisée localement sur des ordinateurs avec ou sans Active Directory. Sur un ordinateur local, un objet de stratégie de groupe est configuré localement. Pour utiliser cette option, démarrez l'Éditeur de stratégie de groupe et sélectionnez un objet de stratégie de groupe approprié, celui qui est enregistré dans Active Directory ou celui qui se trouve localement sur un ordinateur. Cliquez sur Paramètres de l'ordinateur, puis sur Paramètres de sécurité1. L'espace de nom de nœud que vous voyez ici est identique à celui présent dans l'Éditeur de configuration de sécurité dans lequel vous pouvez éditer une configuration particulière. Vous pouvez copier/coller des nœuds spécifiques (chacun représentant une zone de sécurité particulière) de l'Éditeur de configuration de sécurité vers le nœud correspondant dans la stratégie de groupe ou encore importer une configuration complète dans la stratégie de groupe. La configuration de sécurité sera ainsi enregistrée dans un objet de stratégie de groupe et appliquée en tant que partie intégrante de la mise en œuvre de la stratégie de groupe. Les objets de stratégie de groupe sont appliqués à un ordinateur en fonction du domaine d'application Active Directory (domaine et unités d'organisation) dans lequel se trouve celui-ci. Il est ainsi possible d'appliquer plusieurs configurations de sécurité à un même ordinateur. Si elles contiennent les mêmes attributs, c'est le plus récent dans l'ordre d'application des objets de stratégie de groupe qui est prioritaire. Pour plus d'informations sur l'infrastructure de stratégie de groupe, consultez sur le site microsoft.com la page consacrée aux stratégies de groupe de Windows 2000.

    • Gestionnaire de configuration de sécurité - Cette option n'est recommandée pour la configuration que si vous ne disposez pas d'une infrastructure Windows Active Directory et qu'il n'est pas nécessaire d'appliquer régulièrement la configuration de sécurité. En d'autres termes, vous préférerez alors contrôler manuellement la configuration et l'analyse. Pour utiliser cette option, démarrez MMC et ajoutez le composant logiciel enfichable Gestionnaire de configuration de sécurité et ses extensions. Par défaut, le composant logiciel pointe sur la base de données Stratégie de l'ordinateur local. Vous pouvez choisir une base de données différente en cliquant avec le bouton droit de la souris sur le nœud Gestionnaire de configuration de sécurité et en cliquant ensuite sur Définir la base de données dans le menu contextuel. Cliquez sur Importer la configuration dans le menu contextuel du Gestionnaire de configuration de sécurité. Vous ouvrez ainsi la boîte de dialogue Ouvrir le fichier que vous pouvez utiliser pour rechercher et sélectionner une configuration enregistrée. Répétez cette opération en important d'autres configurations enregistrées sous la forme de paramètres incrémentiels. La base de données fusionne les différentes configurations pour créer une configuration composite et applique la règle de la priorité au plus récent pour résoudre les conflits. Lorsque les configurations ont été importées dans la base de données sélectionnée, cliquez sur Configurer maintenant dans le menu contextuel pour les appliquer au système. Une boîte de dialogue de progression vous montre l'application de la configuration et un journal des erreurs apparaît finalement si des erreurs ont été rencontrées pendant cette opération.

    • Éditeur de ligne de commande Secedit - Cette option est recommandée si vous ne disposez pas d'une infrastructure Active Directory et si vous avez plusieurs ordinateurs à configurer fréquemment. Ouvrez une fenêtre console et tapez Secedit.exe ; sélectionnez ensuite les options appropriées telles que le lieu de conservation de la base de données, les configurations à employer, etc. Vous pouvez également créer des fichiers de commandes et les programmer avec le planificateur de tâches afin qu'ils s'exécutent pendant les heures creuses. Vous pouvez utiliser Microsoft System Management Server pour répartir cette tâche sur plusieurs ordinateurs.

    Remarque : Le jeu d'outils est capable d'appliquer plusieurs configurations. Vous pouvez choisir d'appliquer initialement une configuration réduite et de lui ajouter ensuite d'autres configurations. La base de données de sécurité conserve la forme fusionnée de plusieurs configurations et les paramètres de configuration les plus récents remplacent toute autre valeur du même paramètre.

  • Analyse de la sécurité du système -Pour analyser la sécurité du système, cliquez sur Analyser dans le menu contextuel du composant logiciel Gestionnaire de configuration de sécurité ou utilisez l'éditeur de ligne de commande pour collecter les informations d'analyse d'une base de données de sécurité. Vous pouvez effectuer cette opération sous la forme d'un script administratif qui peut être exécuté immédiatement ou à un moment plus opportun. Vous pouvez utiliser Microsoft System Management Server pour répartir cette tâche sur plusieurs ordinateurs.

  • Consultation des données de l'analyse de la sécurité - Le Gestionnaire de configuration de sécurité vous permet de consulter les informations relatives à chaque zone de sécurité. Les recommandations de configuration enregistrées sont présentées en regard des paramètres courants du système et des icônes signalent tout problème dans les zones où les paramètres actuels ne correspondent pas à ceux enregistrés dans la configuration. Vous pouvez corriger les problèmes par une nouvelle configuration du système en cliquant sur Configurer maintenant dans le menu contextuel. Le Gestionnaire de configuration de sécurité vous permet de modifier les paramètres de la configuration enregistrée afin qu'ils concordent avec les paramètres actuels du système. Vous pouvez ensuite conserver les paramètres actuels qui se retrouvent dans la base de données. Les futures analyses ne feront plus apparaître le problème. Cette fonction peut également être utilisée pour appliquer à la volée toute modification nécessaire.

    Remarque : Alors que différentes interfaces graphiques offrent toutes les fonctionnalités mentionnées ci-dessus, l'éditeur de ligne de commande ne permet que la configuration du système et la collecte des données pour l'analyse. Il ne permet pas la création ou l'édition des configuration, ni la consultation des données d'analyse.

Interfaces graphiques

Le jeu d'outils est fourni avec les interfaces graphiques suivantes :

  • Éditeur de configuration de sécurité - Il s'agit d'un composant logiciel enfichable standard qui permet d'éditer les configurations de sécurité (voir Figure 4).

    Éditeur de configuration de sécurité
    Figure 4 L'Éditeur de configuration de sécurité

  • Gestionnaire de configuration de sécurité - Il s'agit d'un composant logiciel autonome qui vous permet d'importer des configurations dans une base de données de sécurité, de configurer le système avec toute configuration (composite) enregistrée dans la base de données et d'analyser l'état actuel de la sécurité par rapport à la configuration enregistrée et de signaler les anomalies (voir Figure 5).

    Le Gestionnaire de configuration de sécurité
    Figure 5 Le Gestionnaire de configuration de sécurité

  • Extension Paramètres de sécurité - Il s'agit d'un composant logiciel d'extension de l'Éditeur de stratégie de groupe. Il permet d'enregistrer une configuration de sécurité comme une partie des objets de stratégie de groupe qui peut ensuite être affectée à des ordinateurs ou à des groupes de travail et appliquée automatiquement (voir Figure 6).

    Extension des paramètres de sécurité de l'Éditeur de stratégie de groupe
    Figure 6 Extension des paramètres de sécurité de l'Éditeur de stratégie de groupe,
    montrant l'Éditeur de stratégie de groupe appliqué à la stratégie de l'ordinateur local

Commande Secedit

La figure 7 illustre les paramètres d'utilisation disponibles avec l'éditeur de ligne de commande de configuration de sécurité, Secedit.

Éditeur de ligne de commande Secedit
Figure 7 Éditeur de ligne de commande Secedit

La syntaxe de la commande est la suivante:

secedit {/analyze | /configure | /generate | /refreshPolicy | /validate}

Vous trouverez ci-après une explication détaillée de chacune des options de la syntaxe Secedit.

Secedit analyze

La commande suivante analyse la sécurité du système :

secedit /analyze [/scppath chemin du fichier de configuration] [/sadpath chemin de la base de données de sécurité] [/log chemin du journal] [/verbose] [/quiet]

  • /sadpath chemin de la base de données de sécurité indique le chemin vers la base de données par rapport à laquelle Secedit effectuera son analyse. Les résultats de l'analyse sont stockés dans cette base de données en plus des informations de configuration qui s'y trouvent déjà. Si le chemin de la base de données de sécurité n'est pas précisé, Secedit utilisera une base de données par défaut. La base de données par défaut est %windir%\security\database\ secedit.sdb pour les administrateurs ou userprofile%\secedit.sdb pour les utilisateurs. Si le chemin de la base de données de sécurité est une nouvelle base de données, vous devez préciser le chemin du fichier de configuration.

  • /scppath chemin du fichier de configuration indique le chemin vers le fichier de configuration qui doit être chargé dans la nouvelle base de données avant d'effectuer l'analyse. Si le chemin du fichier de configuration n'est pas précisé, l'analyse sera effectuée sur la base des informations déjà présentes dans la base de données indiquée par le chemin de la base de données de sécurité. Le chemin du fichier de configuration n'est valide que si le chemin de la base de données de sécurité correspond à une nouvelle base de données.

  • /log chemin du journal indique le chemin vers le fichier journal de l'opération. S'il n'est pas précisé, Secedit utilise le chemin par défaut %windir%\security\logs\scesrv.log.

  • /verbose demande à Secedit de fournir des informations détaillées sur la progression.

  • /quiet demande à Secedit de supprimer la sortie sur écran et dans le journal.

Secedit configure

La commande suivante configure la sécurité du système :

secedit /configure [/scppath chemin du fichier de configuration] [/areas zones] [/overwrite][/sadpath chemin de la base de données de sécurité] [/log chemin du journal] [/verbose] [/quiet]

où :

  • /sadpath chemin de la base de données de sécurité indique le chemin vers la base de données qui sera utilisée par Secedit pour configurer le système (en plus des informations figurant dans le chemin du fichier de configuration si un chemin du fichier de configuration est spécifié). Si le chemin de la base de données de sécurité n'est pas précisé, Secedit utilisera une base de données par défaut. La base de données par défaut est %windir%\security\database\secedit.sdb pour les administrateurs ou %userprofile%\secedit.sdb pour les utilisateurs. Si le chemin de la base de données de sécurité est une nouvelle base de données, vous devez préciser le chemin du fichier de configuration.

  • /scppath chemin du fichier de configuration indique le chemin vers le fichier de configuration qui doit être chargé dans la base de données avant d'effectuer la configuration. Si le chemin du fichier de configuration n'est pas précisé, le système sera configuré en utilisant les informations déjà présentes dans la base de données indiquée par le chemin de la base de données de sécurité.

    /areas zones spécifie les zones de sécurité à traiter parmi les suivantes :

    • SECURITYPOLICY — Stratégie locale et stratégie de domaine pour le système.

    • USER_MGMT — Paramètres du compte utilisateur pour chaque utilisateur.

    • GROUP_MGMT — Paramètres de groupe restreint (seulement pour les groupes précisés dans le profil).

    • USER_RIGHTS — Droits de connexion d'un utilisateur et privilèges accordés.

    • DSOBJECTS — Sécurité sur les objets annuaire.

    • REGKEYS — Sécurité sur les clés du registre local.

    • FILESTORE — Sécurité sur le stockage local des fichiers.

    • SERVICES — Configuration de sécurité pour tous les services définis.

    L'option par défaut est toutes les zones. Les zones doivent être séparées par un espace.

  • /log chemin du journal indique le chemin vers le fichier journal de l'opération. S'il n'est pas précisé, Secedit utilise le chemin par défaut %windir%\security\logs\scesrv.log.

  • /verbose demande à Secedit de fournir des informations détaillées sur la progression.

  • /quiet demande à Secedit de supprimer la sortie sur écran et dans le journal.

  • /overwrite indique que les informations de configuration chargées depuis le chemin du fichier de configuration doivent remplacer toute information de configuration existant déjà dans la base de données. Toutes les futures configurations qui emploient cette base de données se baseront exclusivement sur les informations contenues dans le fichier indiqué par le chemin du fichier de configuration. Si Overwrite n'est pas précisé, les informations en provenance du fichier indiqué par le chemin du fichier de configuration sont ajoutées à toute information de configuration existante dans la base de données indiquée par le chemin de la base de données de sécurité. Overwrite n'est valide que si un scppath est indiqué.

Secedit generate

La commande suivante génère un fichier de configuration à partir de la base de données :

secedit /generate /scppath chemin du fichier de configuration [/areas zones][/sadpath chemin de la base de données de sécurité] [/log chemin du journal] [/verbose] [/quiet]

où :

  • /sadpath chemin de la base de données de sécurité indique le chemin vers la base de données qui sera utilisée par Secedit pour obtenir les informations de configuration du système. Si le chemin de la base de données de sécurité n'est pas précisé, Secedit utilisera une base de données par défaut. La base de données par défaut est %windir%\security\database\secedit.sdb pour les administrateurs ou %userprofile%\secedit.sdb pour les utilisateurs. Si le chemin de la base de données de sécurité est une nouvelle base de données, vous devez préciser le chemin du fichier de configuration.

  • /scppath chemin du fichier de configuration indique le chemin vers le fichier où seront enregistrées les informations de configuration. Le chemin du fichier de configuration doit être précisé pour cette opération.

    /areas zones spécifie les zones de sécurité à traiter parmi les suivantes :

    • SECURITYPOLICY — Stratégie locale et stratégie de domaine pour le système.

    • USER_MGMT — Paramètres du compte utilisateur pour chaque utilisateur.

    • GROUP_MGMT — Paramètres de groupe restreint (seulement pour les groupes précisés dans le profil).

    • USER_RIGHTS — Droits de connexion d'un utilisateur et privilèges accordés.

    • DSOBJECTS — Sécurité sur les objets annuaire.

    • REGKEYS — Sécurité sur les clés du registre local.

    • FILESTORE — Sécurité sur le stockage local des fichiers.

    • SERVICES — Configuration de sécurité pour tous les services définis.

L'option par défaut est toutes les zones. Les zones doivent être séparées par un espace.

  • /log chemin du journal indique le chemin vers le fichier journal de l'opération. S'il n'est pas précisé, Secedit utilise le chemin par défaut %windir%\security\logs\scesrv.log.

  • /verbose demande à Secedit de fournir des informations détaillées sur la progression.

  • /quiet demande à Secedit de supprimer la sortie sur écran et dans le journal.

Secedit refreshPolicy

La commande suivante lance la diffusion de la stratégie de sécurité en arrière-plan :

secedit /RefreshPolicy {MACHINE_POLICY | USER_POLICY}

****

RefreshPolicy ordonne à Secedit d'actualiser la stratégie de sécurité comme suit :

  • MACHINE_POLICY actualise la stratégie pour l'ordinateur local

  • USER_POLICY actualise la stratégie pour l'utilisateur de cet ID de connexion.

Secedit validate

La commande suivante valide la syntaxe d'un fichier de configuration de l'Éditeur de configuration de sécurité :

secedit /validate nom du fichier

  • validate nom du fichier indique le fichier de configuration à valider.
<< 1 2 3 4 >>

Dernière mise à jour le lundi 20 mars 2000